JREに再び脆弱性 - 電子政府「e-Gov」は最新版対応をアナウンス
サン・マイクロシステムズが提供しているJavaアプリケーションの実行環境「JRE」に脆弱性が見つかったとして、情報処理推進機構(IPA)では、注意を呼びかけている。
今回公表されたのは、JREのXSLT処理に関するもので、悪意あるJavaアプレットを利用したウェブページを閲覧した場合、任意のコードが実行されたり、情報漏洩、ブラウザの終了など被害を受ける可能性がある。
影響を受けるのは、「JRE 6 Update 4」「同5.0 Update 14」「同1.4.2_16」ほか、開発者向けパッケージ「JDK 6 Update 4」「JDK 5.0 Update 14」「SDK 1.4.2_16」などで、いずれも以前のバージョンも含まれる。
今回の脆弱性は、サン・マイクロシステムズが公開した最新版へアップデートすることで回避できるが、一部バージョンについては旧バージョンを削除する必要がある。またバージョンアップによりJavaアプリケーションの実行に影響を及ぼす可能性があるため、注意が必要だ。
同脆弱性は、2006年10月に富士通研究所の兒島尚氏よりIPAへ届け出があり、JPCERTコーディネーションセンターがサンと調整を進めてきたもので、解消まで1年5カ月かかった。
今回脆弱性が見つかった「JRE」は、政府や地方公共団体の電子申請などで幅広く利用されている。2007年には同ソフトに脆弱性が発見され、さらに旧バージョンの利用を推奨している政府機関があったことから、大きな問題となった。
今回の脆弱性について、電子政府の総合窓口となる「e-Gov電子申請システム」では、早々に最新版に対応していることを明らかにしており、最新版の利用を推奨している。
Java.com
http://java.com/ja/
サン・マイクロシステムズ
http://www.sun.co.jp/
(Security NEXT - 2008/03/11 )
ツイート
PR
関連記事
「IBM AIX」に複数のRCE脆弱性が判明 - パッチや暫定修正プログラムを公開
新規アプリ登録者のメアド流出、システム設定ミスで - マクドナルド
エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
フィッシングURLが約48%減 - 約1年ぶりの2万件台
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
Veeam製バックアップソフトに深刻なRCE脆弱性が判明
「Chrome」に「クリティカル」脆弱性 - アップデートで修正
持ち出し緊急連絡表をメモ利用、保育士を懲戒処分 - 二宮町